Il 10 marzo 2023 con il decreto legislativo n. 24 l’Italia ha recepito la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, anche nota come “direttiva whistleblowing”.
Seppur con un certo ritardo, dopo mesi di confronti interni e richieste di pareri, il nuovo decreto conforma la normativa nazionale a quella europea e fa confluire in un unico testo normativo la disciplina della tutela delle persone segnalanti.
Con il termine whistleblowing ci si riferisce ad una situazione nella quale un individuo segnala attività illecite o fraudolente, potenzialmente dannose per la collettività, di cui è stato testimone nel contesto lavorativo pubblico o privato. Più specificamente, le violazioni oggetto di una segnalazione di whistleblowing, possono riguardare le disposizioni normative nazionali o dell’Unione europea e sono da ricondursi a comportamenti, atti o omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.
Il tema del whistleblowing non è nuovo per il nostro ordinamento: prima dell’entrata in vigore del nuovo decreto, era già prevista una tutela per i soggetti che intendessero segnalare illeciti, tutela garantita dal d.lgs. 30 marzo 2001, n. 165 per il settore pubblico e dal d.lgs. 8 giugno 2001, n. 231, nonché dalla legge 30 novembre 2017, n. 179 per i soggetti del settore privato. Il nuovo decreto, abrogando le precedenti disposizioni normative, giudicate spesso inadeguate, oltre a rafforzare i principi di trasparenza, responsabilità e prevenzione della commissione di reati, potenzia le misure di protezione rivolte ai soggetti segnalanti, disciplinando il divieto di ritorsione e l’obbligo alla riservatezza.
Tra le principali novità introdotte dal nuovo decreto vi è l’obbligo, per una platea estesa di aziende e per gli enti della pubblica amministrazione, di attivare un canale di segnalazione interno, sicuro e in grado di garantire la riservatezza dell’identità del segnalante.
Più precisamente, la nuova disciplina si applica:
- alle aziende che hanno impiegato nell’ultimo anno la media di almeno 50 lavoratori subordinati, assunti con contratti di lavoro a tempo indeterminato o determinato;
- alle aziende che rientrano nell’ambito di applicazione degli atti dell’Unione Europea, senza limiti minimi nel numero di dipendenti;
- alle aziende che adottato il Modello Organizzativo 231, qualunque sia il numero di lavoratori subordinati;
- ai soggetti del settore pubblico.
Il decreto, inoltre, amplia la categoria di soggetti segnalanti meritevoli di tutela, includendo oltre ai dipendenti anche i lavoratori autonomi, i liberi professionisti e i consulenti, i volontari e i tirocinanti anche non retribuiti, gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza. La nuova disciplina si incentra fortemente sulla tutela della riservatezza del segnalante, attraverso la predisposizione di diverse garanzie finalizzate ad evitare eventuali atti ritorsivi.
In merito alla tutela della riservatezza, l’identità della persona del whistleblower o qualsiasi altra informazione da cui può evincersi tale identità, non potrà essere rivelata a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati.
Il decreto 24/2023, oltre ad introdurre l’obbligo di attivazione di canali di segnalazione interni, prevede la possibilità per il whistleblower di ricorrere ad un canale di segnalazione esterna, predisposto e gestito dall’ANAC, l’Autorità Nazionale Anticorruzione, che diventa anche il soggetto competente per l’irrogazione delle sanzioni amministrative sia nei confronti dei soggetti del settore pubblico sia per i soggetti del settore privato, previste nel caso in cui non siano rispettate le disposizioni in tema whistleblowing.
Cosa devono fare le aziende e le pubbliche amministrazioni?
In osservanza alle nuove disposizioni, le amministrazioni pubbliche e le aziende obbligate devono dotarsi di un canale di segnalazione per il whistleblowing che garantisca, anche tramite il ricorso a strumenti di crittografia, la riservatezza:
- dell’identità del whistleblower;
- della persona coinvolta o menzionata nella segnalazione;
- del contenuto della segnalazione;
- della relativa documentazione eventualmente allegata alla segnalazione.
I soggetti obbligati devono adeguarsi scegliendo un software di whistleblowing per la gestione delle segnalazioni di illeciti: per chi non rispetta l’obbligo, sono previste sanzioni rilevanti. Infatti, nel caso in cui ANAC accerti che non siano stati istituiti canali di segnalazione o che non siano state adottate procedure per l’effettuazione e la gestione delle segnalazioni, è prevista l’irrogazione di sanzioni che vanno da 10.000 a 50.000 euro.
Il nuovo decreto stabilisce anche le modalità con le quali comunicare l’attivazione del canale interno di segnalazione. Nei luoghi di lavoro devono essere esposte informazioni chiare sulle modalità di invio delle segnalazioni e sul canale adottato e, nel caso in cui l’ente abbia un proprio sito internet già attivo, tali informazioni devono essere rese pubbliche in un’apposita sezione dedicata. Quanto all’ufficio interno incaricato o persona designata come responsabile della gestione del canale di segnalazione, oltre a dare seguito alle segnalazioni pervenute, questi devono mantenere interlocuzioni con la persona segnalante tramite una chat interna di cui il software di whistleblowing deve essere dotato.
Hai ancora qualche dubbio in tema whistleblowing e Decreto Legislativo n. 24/2023?
Consulta le FAQ
GDPR e whistleblowing: quali adempimenti sono previsti dalla legge?
Come abbiamo già anticipato, disciplinando il tema della protezione dei soggetti coinvolti nelle attività di whistleblowing, il nuovo decreto legislativo 24/2023 introduce importanti disposizioni a tutela della riservatezza dei dati personali sia di chi segnala i presunti illeciti, sia delle persone segnalate, che di eventuali terzi coinvolti. Diverse sono quindi le implicazioni in materia di protezione dei dati personali e di tutela della privacy.
Pertanto, quali sono gli adempimenti in tema privacy che le imprese devono affrontare a seguito dell’attivazione di un canale di segnalazione interno?
Lo abbiamo chiesto al Dott. Luca Scigliano, Data Privacy Consultant della divisione GDPR-ok di Aliante Consulting.
“L’art. 13, comma 5, del d.lgs. 24/2023 prevede la stipula di un apposito accordo di contitolarità tra i diversi autonomi titolari che si trovino a condividere le risorse del sistema di ricevimento e gestione delle segnalazioni interne, con conseguente obbligo di disciplinare le rispettive responsabilità.
Viene altresì resa obbligatoria la disegnazione a responsabile del trattamento di tutti quegli ulteriori eventuali soggetti, fornitori esterni, che trattino i dati personali per conto dei titolari, nell’ambito del canale di gestione delle segnalazioni, nonché degli individui sotto la diretta autorità del titolare del trattamento, espressamente autorizzati a trattare i dati personali di tutti i soggetti coinvolti nell’ambito del medesimo sistema.
In ossequio al principio di accountability, disciplinato dal regolamento europeo in materia di protezione dei dati personali 679/2016, meglio conosciuto come GDPR, viene imposto in capo al titolare l’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati personali (DPIA) fondamentale per definire gli aspetti relativi alla struttura privacy by design e by default del proprio sistema di ricevimento e gestione delle segnalazioni interne, garantendone così una conformità alla normativa di riferimento sin dalla fase di progettazione e per conseguente impostazione predefinita.
Il titolare è pertanto tenuto a configurare il proprio canale di whistleblowing con specifiche caratteristiche a garanzia della riservatezza e della protezione dei dati personali dei soggetti coinvolti.
Di seguito alcuni esempi di misure di sicurezza:
- crittografia del canale di segnalazione;
- formazione ad hoc del personale incaricato alla gestione del canale;
- specifiche misure tecniche per la conservazione delle segnalazioni.
Fondamentale è anche la gestione delle richieste di esercizio dei diritti da parte degli eventuali interessati coinvolti, come previsti dagli artt. 15-22 del GDPR in conformità alle limitazioni di cui all’art 2-undecies del Codice Privacy, ovvero valutando se da tale servizio possa derivare un pregiudizio effettivo e concreto per la riservatezza del whistleblower.
Proprio a tutela dell’identità del segnalante, nell’ambito del principio generale per cui le segnalazioni non possono essere utilizzate se non per darvi adeguato seguito, il titolare e/o i titolari devono:
- garantire la riservatezza dell’identità del segnalante, del contenuto della segnalazione e della relativa documentazione;
- assicurare che l’identità del segnalante non sia rivelata a persone diverse dagli individui specificatamente autorizzati, fatta eccezione esclusivamente per i casi in cui sia stato ottenuto espresso ed esplicito consenso del segnalante;
- nell’eventuale contesto di procedimenti disciplinari interni avviati a seguito della segnalazione, il titolare deve ottenere previamente il consenso espresso del segnalante alla rivelazione della propria identità (ove la contestazione dell’addebito disciplinare sia fondata in tutto o in parte sulla segnalazione), mentre l’identità del segnalante non potrà essere rivelata ove la contestazione dell’addebito disciplinare sia fondata su accertamenti ulteriori e distinti rispetto alla segnalazione;
- sottrarre le segnalazioni alle richieste di accesso ai documenti amministrativi e di accesso civico (con particolare riferimento ai titolari soggetti pubblici);
- garantire i presidi di cui sopra per tutte le altre persone eventualmente coinvolte o menzionate nella segnalazione.
È previsto, inoltre, in capo ai titolari l’obbligo di astenersi dal raccogliere informazioni manifestamente non utili al trattamento di una specifica segnalazione e, se raccolte accidentalmente, procedere alla loro immediata cancellazione. Ultimo ma non per importanza, vi è l’obbligo di conservare i dati personali, il contenuto della segnalazione e la relativa documentazione per il solo periodo strettamente necessario al trattamento della medesima e, in ogni caso, per un periodo non eccedente i 5 anni dalla data della comunicazione dell’esito finale della procedura di segnalazione (tale termine è stato ritenuto congruo e condiviso sia dall’autorità garante per la protezione dei dati personali che dall’autorità nazionale anticorruzione, ANAC).”
Ringraziando il Dott. Scigliano per il suo prezioso contributo, proseguiamo analizzando le misure di sicurezza informatica che un canale di whistleblowing deve rispettare.
L’importanza dell’implementazione di misure di sicurezza dei dati
Le aziende e gli enti della pubblica amministrazione sono tenuti a trattare i dati conformemente alle norme sul trattamento dei dati contenute nel nuovo decreto e disciplinate dal GDPR. Questo significa che il software di whistleblowing deve prevedere intrinsecamente una serie di misure di sicurezza e rispettare di conseguenza i principi di privacy by design e privacy by default previste dal regolamento europeo sulla protezione dei dati.
La piattaforma tecnologica utilizzata per le segnalazioni di illeciti deve rispettare rigorosi standard di sicurezza informatica al fine di proteggere l’identità dei whistleblower e garantire la riservatezza delle informazioni contenute nella segnalazione. Il software per il whistleblowing deve basarsi su architetture informatiche progettate fin dall’inizio con tecniche avanzate di crittografia, per assicurare la protezione dei dati, e tecnologie di anonimato per proteggere l’origine delle segnalazioni.
Nel caso specifico in cui l’accesso al canale di segnalazione sia mediato da dispositivi firewall o proxy, per garantire la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione, l’utilizzo di un protocollo di trasporto https e l’accesso mediato dalla rete TOR, sono caratteristiche da valutare nella scelta del software di whistleblowing, in quanto si tratta di misure necessarie per garantire l’anonimizzazione.
Per soddisfare i massimi livelli di sicurezza informatica, i provider devono utilizzare componenti tecnologiche sottoposte a numerosi test di sicurezza, revisionare il codice e effettuare attività di peer review e, per garantire la disponibilità del sistema, è fondamentale l’adozione di misure per la prevenzione da possibili attacchi denial-of-service che causano interruzioni del sistema.
Un altro aspetto rilevante riguarda le misure adottate per il controllo degli accessi. Dato il valore delle informazioni gestite attraverso il software di whistleblowing e l’obbligo per l’azienda o l’ente pubblico di garantire la riservatezza dell’identità del segnalante e delle informazioni contenute nella segnalazione, il software di whistleblowing deve implementare sistemi di autenticazione informatica basati su tecniche di strong authentication per evitare l’accesso alle informazioni da parte di soggetti non autorizzati.
Sei tra le aziende obbligate ad adottare un canale interno di whistleblowing?
Scopri di più su BE Segnalazione, il software di whistleblowing per gestire in maniera semplice e compliant le segnalazioni di illeciti.
Visita il sito besegnalazione.it